Вредоносное ПО для онлайн банкинга перехватывает звонки в службу поддержки

Исследователи в области кибербезопасности из компании «Лаборатория Касперского» рассказали о банковском трояне под названием Fakecalls. Помимо обычных шпионских функций, у него есть интересная способность «разговаривать» с жертвой, имитируя общение с сотрудником банка.

Fakecalls имитирует мобильные приложения популярных корейских банков, в том числе KB (Kookmin Bank) и KakaoBank. Помимо привычных логотипов создатели трояна выводят на экран Fakecalls номера службы поддержки соответствующих банков. Номера телефонов кажутся реальными (один из номеров можно найти на главной странице официального сайта KakaoBank).

При установке троян запрашивает целый ряд разрешений, включая доступ к контактам, микрофону и камере, геолокации, обработке звонков и пр.

В отличие от других банковских троянов, Fakecall может имитировать телефонные разговоры со службой поддержки. Если жертва звонит на горячую линию банка, троян незаметно разрывает соединение и вместо обычного приложения для звонков открывает свой фальшивый экран вызова. Пока пользователь ничего не подозревает, злоумышленники берут ситуацию в свои руки.

Единственное, что может выдать троян — поддельный экран звонка. У Fakecalls только один язык интерфейса — корейский. Это означает, что если на телефоне выбран другой язык системы, то жертва, скорее всего, почует неладное.

После перехвата звонка возможны два сценария. В первом Fakecalls связывает жертву напрямую с киберпреступниками, поскольку у приложения есть разрешение на совершение исходящих звонков. Во втором случае троян воспроизводит предварительно записанный звук, имитирующий стандартное приветствие банка. Злоумышленники записали несколько фраз на корейском языке, обычно произносимых сотрудниками голосовой почты или call-центра. Мошенники под видом сотрудника банка могут попытаться выманить у жертвы платежные данные или другую конфиденциальную информацию.

Помимо исходящих вызовов, Fakecalls также может подделывать входящие звонки. Когда злоумышленники хотят связаться с жертвой, троян выводит свой экран поверх системного. В результате пользователь видит не реальный номер, используемый злоумышленниками, а тот, который показывает вредонос, например, номер телефона службы поддержки банка.